恶意样本分析-Lab16-01 反调试1分析

最新推荐文章于 2024-09-23 14:34:41 发布
原创 最新推荐文章于 2024-09-23 14:34:41 发布 · 650 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了对一个恶意样本的反调试分析,包括静态分析和动态调试两部分。在静态分析阶段,通过IDA避开伪代码直接查看汇编,发现关键的反调试检测。动态调试时,针对BeingDebugged、ProcessHeap和NtProcessFlag等反调试机制进行了逐一破解,确保样本能够正常运行和分析。

恶意样本分析-Lab16-01 反调试1分析

这个样本是随书《恶意代码分析实战》第十六章的样本,主要用来熟悉反调试的一些手段,这个算是样本分析中需要掌握的基础知识。这篇笔记会包含了静态分析和静态分析。基本要求

在这里插入图片描述

在分析这个样本之前可以先看一下恶意样本分析–16Windows中一些常用的反调试记录

静态分析

静态分析就不做PE信息的分析,直接走IDA分析,这个过程尽量不走伪代码分析,分析汇编指令,便于在x64dbg上分析时快速定位。

由于已经在第九章分析了,因此这里关注到反调试手段。首先来到入口处看到关键指令

在这里插入图片描述

很明显这个两个检测都是PEB结构的变量的检测,如果都不为0,则会调用函数sub_401000删除样本。

动态调试分析

使用x64dbg加载来到入口位置(这里注意如果程序放行就会停止同时样本被删除),

  • 检测BeingDebugged

第一个检测返回状态值不为0,为1

最低0.47元/天 解锁文章
恶意样本分析手册
不忘初心,护天下安全!
10-14 1313
图解恶意样本分析的常用方法,你与安全专家的差距只有一篇文章!
一个恶意样本分析
信息安全
08-09 4662
1.1样本信息1样本概况 病毒名称:bea213f1c932455aee8ff6fde346b1d1960d57ff MD5: 6E4B0A001C493F0FCF8C5E9020958F38 SHA1: BEA213F1C932455AEE8FF6FDE346B1D1960D57FF CRC32: 1CD8074D 1.2测试环境及工具 2.1.1 测试环境 Windows ...
恶意样本分析报告
4SecNet团队专栏
03-20 836
分析报告 样本信息 文件大小 MD5 文件名称 72.07KB 44BCF2DD262F12222ADEAB6F59B2975B ab.exe 样本功能分析: 通过shellcode编写进行免杀,实现干扰分析人员进度: 通过多重跳转实现类似垃圾指令的功能,干扰分析人员,获取当前文件执行镜像名称与硬编码的数据进行对比,也是一种防止分析的手段(校验运行的进程名与预设的进程名是否相同) 对文件名称进行校验: 根据算法比较获取目标DLL文件 DLL算法(有可能是UNICODE,也有可能是AN
GO恶意样本实例分析
zhangge3663的博客
01-15 940
最近在工作中遇到不少的go语言编写的恶意样本,也整理了在分析go恶意样本的一些基础知识,各位同学可以先看看这篇文章《GO恶意样本分析》,对go语言的分析基础有一定了解。 在平常的工作中遇到的情况来看,go语言的恶意样本可以分为如下的三个等级以及对应的等级的说明。 非常简单: 未去除符号以及未混淆的恶意软件。 一般简单: 去除符号的恶意软件。 困难:混淆的恶意软件。 我找了几个对应的样本,大家可以一起学习学习。 未去除符号以及未混淆的的恶意软件   WellMesss是疑似具有俄罗斯...
恶意软件样本行为分析
weixin_49816179的博客
12-17 453
本文介绍了恶意样本行为分析方式,包括:1) 熟悉 Process Moniter 的使用;2) 熟悉抓包工具 Wireshark 的使用;3) VMware 的熟悉和使用;4) 灰鸽子木马的行为分析
新手的恶意代码分析记录(一)_Lab01-01
qq_42689353的博客
08-18 1764
一、基本信息 样本基本信息: 样本名称:Lab01-01.dll 样本大小:163840 bytes MD5:290934C61DE9176AD682FFDD65F0A669 样本名称:Lab01-01.exe 样本大小:16384 bytes MD5:5A016FACBCB77E2009A01EA5C67B39AF209C3FCB 使用cff_Explorer 查看样本基本信息 使用查壳工具die查看,可以看出来,两个程序并没有加壳,并且是使用VC6.0编写的。 查看 Lab01-01.dll 程
精选资源
恶意代码分析实战课后练习题
11-04
"Practical Malware Analysis Labs"这个文件名暗示了这是一系列实际操作的实验,学习者可以通过亲手分析不同类型的恶意样本,加深对恶意代码分析的理解。每个实验室可能包括目标代码、分析任务和预期结果,引导学习...
学习笔记-第十五章 恶意代码分析实战
Yes_butter的博客
03-28 678
15章 对抗反汇编 所谓对抗反汇编技术,就是程序中使用一些特殊构造的代码或数据,让反汇编分析工具产生不正确的程序代码列表。这种技术由恶意代码编写者手工构造,在恶意代码编译和部署阶段使用一个单独的混淆工具,或是直接在源码中插入混淆代码。 所有恶意代码的设计都有特殊目的:键击记录,后门访问,使用目标系统发送大量电子邮件让服务器瘫痪,等等。 恶意代码编写者会使用对抗反汇编技术来延缓分析人员分析恶意代码...
恶意代码分析与实践lab1
最新发布
qq_74420726的博客
09-23 2491
恶意代码分析与实战》第一章的课后作业
恶意软件样本行为分析——Process Monitor和Wireshark_process monitor抓包(1)
2401_83621541的博客
04-14 889
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
新变种Emotet恶意样本分析
PwnGuo的博客
12-08 1275
样本信息 表1.1 样本信息表 文件 大小 190976 字节 修改时间 202112月2日, 10:30:02 MD5 2EFBE18F2ED8AE0D4648B68596DFA00C SHA1 0954D1E4BC63EB075703FB3D40B5CDB06F57E61E CRC32 8969E72E ...
简单的恶意样本行文分析-入门篇
weixin_48421613的博客
06-21 1548
开篇引题,此篇文章为入门入门文章,里面的内容为后续软件安全分析铺垫,有点东西,但是不多,所以大家觉得有用就看一眼,觉得无用就不看哈,别喷;此类应用场景呢,其实就是恶意样本行为分析、在遇到后门、应急响应后将恶意样本拷贝走之后去做一个初步的排查,能发现样本做了些什么,他有哪些功能等等...
利用AI+大数据的方式分析恶意样本(四十三)
至臻求学,胸怀云月
05-03 1800
一篇USENIX 2023关于人类与ML分析malware差别的文章阅读
利用AI+大数据的方式分析恶意样本(二十七)
至臻求学,胸怀云月
07-11 2446
NDSS2021一篇挖矿二进制检测的文章阅读
恶意样本分析实战——SmokeLoader
weixin_51409218的博客
08-29 636
恶意样本分析实战——SmokeLoader
利用AI+大数据的方式分析恶意样本(三十九)
至臻求学,胸怀云月
01-18 5039
一篇USENIX2022 关于机器学习用于安全场景的十大缺陷文章阅读
恶意样本分析手册——理论篇
iopoint的专栏
07-27 868
0x00写在最前面 开场白:快报快报!今天是2017 Pwn2Own黑客大赛的第一天,长亭安全研究实验室在比赛中攻破Linux操作系统和Safari浏览器(突破沙箱且拿到系统最高权限),积分14分,在11支队伍中暂居 Master of Pwn 第一名。作为热爱技术乐于分享的技术团队,我们开办了这个专栏,传播普及计算机安全的“黑魔法”,也会不时披露长亭安全实验室的最新研究成果。 安全领域博大精深,很多童鞋都感兴趣却苦于难以入门,不要紧,我们会从最基础的内容开始,循序渐进地讲给大家。技术长路漫漫,我们携.
利用AI+大数据的方式分析恶意样本(四十)
至臻求学,胸怀云月
07-08 3091
一篇ACSAC2020通过对binary静态相似性分析测量iot上malware家族谱系的文章
利用AI+大数据的方式分析恶意样本(四十六)
至臻求学,胸怀云月
08-05 1709
S&P2023一篇更正malware标签的文章
恶意软件样本:WannaCry、CTB-Locker、Cerber分析指南
根据文件信息,我们需要详细说明的知识点包括WannaCry、CTB-Locker和Cerber这三个恶意软件样本的特点、操作注意事项以及恶意软件分析的一般性原则。以下是对这三个恶意软件的详细解读。 ### WannaCry **特点描述:...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值